第7章 电子政务安全保障体系

2、非对称密钥体制——公钥密钥体制 、非对称密钥体制 公钥密钥体制
• 公开密钥密码体制是一种非对称的密码技术，它最主要的特点就是加密 公开密钥密码体制是一种非对称的密码技术， 和解密使用不同的密钥，它们成对出现， 和解密使用不同的密钥，它们成对出现，但却不能根据加密密钥推出解 密密钥。在这种体制中，加密密钥是公开信息，用作加密， 密密钥。在这种体制中，加密密钥是公开信息，用作加密，而解密密钥 需要由用户自己保密，用作解密。 需要由用户自己保密，用作解密。
7.3.1 数据加密技术与数字签名
信息安全技术中数据加密技术是最为核心的安全技术之一。 信息安全技术中数据加密技术是最为核心的安全技术之一。 数据加密技术一般采取两种加密形式： 数据加密技术一般采取两种加密形式：对称密钥体制和非对 称密钥体制。 称密钥体制。
数字加密技术
对称密钥体制
非对称密钥体制
分组密码加密
序列加密
序列加密以比特字母为加密单位，能够满足 大规模数据加密的需求，广泛运用于军事、 政治和外交等方面，是需要自同步、强纠错 的移动通信、卫星通信中保护信息安全的重 要密码之一。序列加密具有理论基础分析透 彻、空间和时间复杂度计算精确的特点，所 以使用起来让人放心。
• 在分组加密和序列加密的体制中，加密密钥和解密密钥通常 在分组加密和序列加密的体制中， 是相同的，或者很容易由其中的一个推导出另一个，因此， 是相同的，或者很容易由其中的一个推导出另一个，因此， 称之为“对称密钥体制” 称之为“对称密钥体制”。 • 对于这种体制，加解密双方所用的密钥都必须保守秘密，而 对于这种体制，加解密双方所用的密钥都必须保守秘密， 且需要不断更新， 且需要不断更新，新的密钥总是要通过某种秘密渠道分配给 使用方，在传递过程中，稍有不慎，就容易泄露。因此， 使用方，在传递过程中，稍有不慎，就容易泄露。因此，密 钥的分发与管理是其最薄弱且风险最大的环节。 钥的分发与管理是其最薄弱且风险最大的环节。
• 公钥密码体制有以下特点： 公钥密码体制有以下特点： 1、密钥分发简单 、 2、需要秘密保存的密钥量少，网络中每个成员只需要秘密保存自己的解 、需要秘密保存的密钥量少， 密密钥。 密密钥。 3、互不相识的人之间也能进行保密对话。 、互不相识的人之间也能进行保密对话。 4、可以进行数字签名。 、可以进行数字签名。
网络基础设施 网络安全边界
核心内网
专用外网
公共服务网
网络基础设施
（光纤、无线、卫星） 光纤、无线、卫星）
电子政务的网络安全边界
第7章 电子政务安全保障体系
7.1 电子政务的安全需求 7.2 电子政务安全保障体系框架 7.3 电子政务安全技术保障体系 7.4 电子政务安全运行管理体系 7.5 电子政务安全社会服务体系 7.6 电子政务安全基础设施
7.1.4 电子政务信息安全域的划分
电子政务信息安全域被称为“三网一库” 电子政务信息安全域被称为“三网一库”：
• 机关内部办公网（简称内网）：指各个行政机关内部的行政办公局域网。内 机关内部办公网（简称内网）：指各个行政机关内部的行政办公局域网。 ）：指各个行政机关内部的行政办公局域网 网与办公业务资源网（专网）之间采用逻辑隔离。 逻辑隔离 网与办公业务资源网（专网）之间采用逻辑隔离。 • 办公业务资源网络（简称专网）：通过联结各部门、各地方的内网，形成覆 办公业务资源网络（简称专网）：通过联结各部门、各地方的内网， ）：通过联结各部门 盖从国务院到各部门、各地方的政务资源网络。专网与外网之间采用物理隔 盖从国务院到各部门、各地方的政务资源网络。专网与外网之间采用物理隔 离。 • 公共管理与服务网络（简称外网）：面向企业和社会服务的公共管理与服务 公共管理与服务网络（简称外网）：面向企业和社会服务的公共管理与服务 ）： 网。外网可以提供公众政务服务的访问功能，并通过后面的应用网关实现 外网可以提供公众政务服务的访问功能， Web服务系统与公共互联网之间的逻辑隔离，以确保内部业务系统的运行安 服务系统与公共互联网之间的逻辑隔离， 服务系统与公共互联网之间的逻辑隔离 全性。 全性。
第7章 电子政务安全保障体系
信息隐藏技术 把一个有意义的信息隐藏在另一个称为载体的信息中， 把一个有意义的信息隐藏在另一个称为载体的信息中，形 成隐秘载体， 成隐秘载体，非授权者不知道这个信息中是否隐藏了其他信 即便知道，也难以提取或去除隐藏的信息。 息，即便知道，也难以提取或去除隐藏的信息。 信息加密是把有意义的信息加密成随机的乱码；信息隐藏 信息加密是把有意义的信息加密成随机的乱码； 是把有用的信息隐秘在无意义的信息中。 是把有用的信息隐秘在无意义的信息中。 信息隐藏技术可以分为几类： 信息隐藏技术可以分为几类： 隐蔽信道技术（单独的信息通道） 隐蔽信道技术（单独的信息通道） 匿名通信技术（隐藏通信主体：发送者和接收者） 匿名通信技术（隐藏通信主体：发送者和接收者） 信息隐写技术（信息内容的隐藏） 信息隐写技术（信息内容的隐藏）
7.3.2 电子政务的安全防护技术
2、防火墙技术
防火墙技术是一种用来加强网络之间访问控制， 防火墙技术是一种用来加强网络之间访问控制，防治外部网络用户以非 法手段通过外部网络进入内部网络，访问内部网络资源， 法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络 操作环境的特殊网络互连设备。它对两个或多个网络之间传输的数据包， 操作环境的特殊网络互连设备。它对两个或多个网络之间传输的数据包， 按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许， 按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许， 并监视网络运行状态。 并监视网络运行状态。 防火墙技术的发展大概经历四个阶段： 防火墙技术的发展大概经历四个阶段： （1）第一代是基于路由器的防火墙； 第一代是基于路由器的防火墙； （2）第二代是用户化的防火墙工具包； 第二代是用户化的防火墙工具包； （3）第三代是建立在通用操作系统上的防火墙。 第三代是建立在通用操作系统上的防火墙。 （4）第四代是具有安全操作系统的防火墙。 第四代是具有安全操作系统的防火墙。
7.1.1 信息安全概念的演变
• 早期的信息安全：“通信保密”阶段，该阶段以实现信息传输 早期的信息安全： 通信保密”阶段， 通信的内容保密为主。 通信的内容保密为主。 • 中期的信息安全：以信息自身的静态防护为主。 中期的信息安全：以信息自身的静态防护为主。 • 近期的信息安全：“信息保障”阶段，强调动态的、纵深的、 近期的信息安全： 信息保障”阶段，强调动态的、纵深的、 全生命周期的、全信息系统资产的信息安全。 全生命周期的、全信息系统资产的信息安全。
作为新一代反病毒软件应做到以下几点： 作为新一代反病毒软件应做到以下几点： （1）全面地与互联网结合，不仅有传统的手动查杀与文件监控，还必须对网络层、 全面地与互联网结合，不仅有传统的手动查杀与文件监控，还必须对网络层、 邮件客户端进行实时监控，防治病毒入侵。 邮件客户端进行实时监控，防治病毒入侵。 （2）快速反应的病毒监测网，采用虚拟跟踪技术，识别位置病毒和变形病毒。 快速反应的病毒监测网，采用虚拟跟踪技术，识别位置病毒和变形病毒。 （3）完善方便的在线升级服务，对新病毒迅速提出解决方案。 完善方便的在线升级服务，对新病毒迅速提出解决方案。 （4）对病毒经常攻击的程序提供重点保护。 对病毒经常攻击的程序提供重点保护。
7.2 电子政务安全保障体系框架
• 构建电子政务安全保障体系的总体框架应该从四个方面来考虑：技 构建电子政务安全保障体系的总体框架应该从四个方面来考虑： 术保障体系、运行管理体系、社会服务体系和安全基础设施建设。 术保障体系、运行管理体系、社会服务体系和安全基础设施建设。
电子政务安全管理体系
技术保障体系
序列密码加密
公开钥匙加密
分组加密 1、 、 对 称 密 钥 体 制
分组加密以字节、字或计算机位数（及其倍数） 为加密单位，在设计原则上强调扩散和混合。 分组加密适用于现代信源环境便于实现快速运 算，不仅可以运用于数据加密，还适用于计算 消息验证，也可用于单向函数和伪随机数发生 器。由于分组加密具有用途广泛、实现方便、 计算速度快等优点，因此，在当今的信息安全 领域仍扮演着重要角色。
目前指“信息保障” 目前指“信息保障”，其目标是抵制电子政务系统的各类潜在 威胁，保障数据及其服务的完整性、机密性、可用性、真实性、 威胁，保障数据及其服务的完整性、机密性、可用性、真实性、 可控性。 可控性。
7.1.2 电子政务的安全环境
电子政务的安全既受到外部环境的威胁，又受到内部环境的威胁： 电子政务的安全既受到外部环境的威胁，又受到内部环境的威胁：
公钥密钥加密体制
CA
7.3.1 数据加密技术与数字签名
数据加密技术
CA
P
A的私人 密钥D 密钥DA
B的公开 密钥E 密钥EB
B的私人 密钥D 密钥DB
A的公开 密钥E 密钥EA
P
DA （P）
EBDA （P）
DA （P）
3、数字签名
• 数字签名技术是实现信息安全的核心技术之一，它的实现基 数字签名技术是实现信息安全的核心技术之一， 础就是加密技术。 础就是加密技术。其基本原理和作用如同传统的签名或印章 是一样的。 是一样的。在计算机网络中传送的报文就是通过数字签名来 证明其真实性的。 证明其真实性的。 • 数字签名必须保证以下几点：接收者能够核实发送者对报文 数字签名必须保证以下几点： 的签名；发送者事后不能抵赖对报文的签名； 的签名；发送者事后不能抵赖对报文的签名；接收者不能伪 造对报文的签名。 造对报文的签名。
7.3.2 电子政务的安全防护技术
电子政务的 安全防护技术
反病毒技术
防火墙技术
虚拟专用 网络 （VPN）
入侵侦测 技术
物理隔离 技术
安全审计 防水墙技术 技术
7.3.Leabharlann Baidu 电子政务的安全防护技术
1、反病毒技术
计算机病毒是某些人利用计算机软、硬件所固有的脆弱性， 计算机病毒是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功 能的程序。反病毒系统是防范病毒的主要工具，通常是一种软件系统。 能的程序。反病毒系统是防范病毒的主要工具，通常是一种软件系统。随着 计算机病毒的发展，反病毒系统采用的技术也不断发展。 计算机病毒的发展，反病毒系统采用的技术也不断发展。
外部环境 自然灾害 意识不够 信息战争 内外勾结 管理漏洞 恶意破坏 滥用职权
内部资源
操作不当 软硬件缺陷 信息恐怖活动 信息间谍
病毒传染
黑客攻击
7.1.3 电子政务的安全需求
信息系统必须提供以下几种安全性控制服务： 信息系统必须提供以下几种安全性控制服务： 1、权限控制（Access Control) 权限控制（ 2、身份识别与验证(Identification & Authentication) 身份识别与验证(Identification 3、保密性(Confidentiality) 保密性(Confidentiality) 4、数据完整性(Data Integrity) 数据完整性(Data 5、不可篡改性(Non-repudiation) 不可篡改性(Non(Non
运行管理体系
社会服务体系 安全管理 测评认证
基础设施平台 PKI认证平台 PKI认证平台 PMI权限平台 PMI权限平台 法规建设 标准建设
密码技术
行政管理 技术管理
防护系统
应急响应 风险管理 教育培训
第7章 电子政务安全保障体系
7.1 电子政务的安全需求 7.2 电子政务安全保障体系框架 7.3 电子政务安全技术保障体系 7.4 电子政务安全运行管理体系 7.5 电子政务安全社会服务体系 7.6 电子政务安全基础设施
第7章 电子政务安全保障体系
7.1 电子政务的安全需求 7.2 电子政务安全保障体系框架 7.3 电子政务安全技术保障体系 7.4 电子政务安全运行管理体系 7.5 电子政务安全社会服务体系 7.6 电子政务安全基础设施
第7章 电子政务安全保障体系
7.1 电子政务的安全需求 7.2 电子政务安全保障体系框架 7.3 电子政务安全技术保障体系 7.4 电子政务安全运行管理体系 7.5 电子政务安全社会服务体系 7.6 电子政务安全基础设施